Цикл «Risk Appetite in Practice»

Про що цей цикл — і про що він не буде

Про ризик-апетит говорять багато. Його описують у стратегіях, політиках, презентаціях для наглядових рад і звітах для регулятора. У таблицях з’являються ліміти, зони толерантності, кольорові індикатори. Формально — усе виглядає переконливо.

Але варто поставити просте запитання — як саме організація приймає ризикові рішення на практиці? — і стає зрозуміло: між задекларованим ризик-апетитом і реальними управлінськими діями часто лежить прірва.

Цей цикл — не про те, як “правильно” описати risk appetite. І точно не про те, як виконати мінімальні вимоги регулятора. Цей цикл — про інше:

• як ризик-апетит фактично проявляється в управлінських рішеннях;
• хто реально проводить межі допустимого;
• чому одні ризики «не помічають», а інші стають приводом для паніки;
• і що відбувається, коли формально встановлені межі перестають працювати.

Ми будемо говорити про ризик-апетит як форму управлінського мислення і поведінки, а не як набір артефактів. Саме в цьому сенсі цикл є прямим продовженням попереднього — Risk Response & Decision-Making: якщо там йшлося про те, як приймаються рішення під ризиком, то тут — де проходять межі, всередині яких ці рішення взагалі можливі.

Стаття перша. Risk Appetite: як організація насправді визначає допустимий ризик

У більшості компаній ризик-апетит виглядає як завершена й формалізована конструкція. Він описаний у стратегії або політиці, затверджений наглядовою радою, узгоджений із регуляторними вимогами та підкріплений набором лімітів і показників. У такому вигляді risk appetite створює відчуття визначеності: здається, що межі ризику окреслені, а отже — керовані.

Проблема починається тоді, коли ці формально визначені межі стикаються з реальними управлінськими рішеннями. Саме в цей момент з’ясовується, що між тим, що задекларовано, і тим, як поводиться організація, часто існує суттєвий розрив. Рішення ухвалюються швидше під тиском цілей, бюджетів і очікувань, ніж із огляду на формально встановлений ризик-апетит.

У практиці це виглядає доволі типовo. Компанія може декларувати помірний або консервативний підхід до ризику, але водночас погоджувати агресивні плани зростання, приймати ризики з відкладеними наслідками або регулярно робити винятки з установлених правил. Формально risk appetite при цьому не порушується — але фактичний рівень ризику суттєво зростає.

Це дозволяє зробити неприємний, але важливий висновок: ризик-апетит не зникає, навіть якщо ним не користуються. Він просто перестає бути тим, що написано в документах, і трансформується в набір негласних управлінських дозволів. У таких умовах реальні межі допустимого визначаються не політикою, а повторюваними рішеннями та реакціями керівництва.

Саме тому ризик-апетит доцільно розглядати не як документ і навіть не як систему лімітів, а як управлінську позицію. Ця позиція проявляється в тому, які ризики вважаються «робочими», які — «небажаними», а які — «неприпустимими», незалежно від потенційного результату. Вона формується поступово, часто несвідомо, але має значно більший вплив на профіль ризику компанії, ніж будь-які формалізовані артефакти.

Особливо чітко справжній ризик-апетит проявляється в ситуаціях напруження — під час кризи, дефіциту ресурсів, регуляторного тиску або різкого погіршення фінансових показників. Саме тоді стає зрозуміло, які межі є принциповими, а які — гнучкими, і хто насправді має право їх пересувати.

У цій статті ми розглянемо ризик-апетит саме з цієї точки зору — як результат управлінської логіки та поведінки, а не як формальну вимогу. Це дозволить перейти від абстрактних декларацій до розуміння того, як організація реально визначає допустимий рівень ризику у своїй щоденній діяльності.

Чому ризик-апетит не читається з документів

Одна з ключових помилок у роботі з ризик-апетитом полягає в переконанні, що його можна «побачити», просто відкривши відповідний документ. Насправді документи лише фіксують намір, тоді як ризик-апетит живе в управлінських рішеннях. Саме тому дві компанії з майже ідентичними політиками можуть мати кардинально різний фактичний профіль ризику.

У практиці це добре видно на прикладі фінансового планування. Якщо бюджет компанії передбачає напружені показники зростання, мінімальний запас міцності та відсутність реалістичних сценаріїв погіршення, то фактичний ризик-апетит уже заданий — незалежно від того, які формулювання використані в політиці. У такій ситуації ризик не просто приймається, він стає структурною умовою виконання плану.

Ще один показовий приклад — ставлення до «тимчасових винятків». У багатьох організаціях рішення, що формально виходять за межі встановлених лімітів, пояснюються як разові або ситуативні. Проблема виникає тоді, коли ці винятки повторюються, але не переосмислюються на рівні ризик-апетиту. У результаті фактична межа допустимого давно зсунулася, тоді як формальна залишилася незмінною.

Окрему роль відіграє система стимулів. Коли KPI менеджменту орієнтовані на обсяги, швидкість або короткостроковий фінансовий результат, організація фактично заохочує прийняття ризику — навіть якщо на словах декларує обережність. У таких умовах risk appetite формується не політикою, а логікою винагороди, і саме вона визначає поведінку керівників.

Показовими є й реакції на негативні події або майже-інциденти. Якщо організація схильна пояснювати їх «збігом обставин», «ринковими факторами» або «людським фактором» без перегляду прийнятих рішень, це також сигнал про фактичний ризик-апетит. Він полягає не в уникненні ризику, а в готовності жити з його наслідками, якщо результат вважається прийнятним.

У підсумку ризик-апетит набагато точніше читається не з текстів, а з повторюваних управлінських патернів. Те, що регулярно дозволяється, толерується або ігнорується, і є реальною межею допустимого. Документи ж у цьому контексті виконують радше роль післямови — вони намагаються пояснити те, що вже стало управлінською нормою.

Саме тому будь-яка розмова про risk appetite, яка обмежується формалізацією, приречена залишитися поверхневою. Щоб зрозуміти, з яким ризиком насправді живе компанія, потрібно аналізувати не тексти, а рішення, стимули та реакції. Лише на цьому рівні ризик-апетит перестає бути абстракцією і стає керованою категорією.

Хто насправді встановлює ризик-апетит

Формально відповідь на це питання зазвичай виглядає чітко й однозначно. Ризик-апетит затверджується наглядовою радою, формується правлінням і реалізується через систему управління ризиками. У документах усе виглядає логічно: є ролі, є відповідальність, є процедури. Проте управлінська практика показує зовсім іншу картину.

Насправді ключову роль у формуванні ризик-апетиту відіграють ті, хто приймає щоденні операційні та стратегічні рішення під тиском результату. Це керівники бізнес-напрямів, фінансові директори, керівники проєктів — усі ті, хто балансує між «потрібно виконати план» і «потрібно не перейти межу». Саме на цьому рівні ризик-апетит набуває практичного змісту.

Показовим є вплив власника або домінуючого акціонера. Навіть за наявності формально незалежної наглядової ради його очікування щодо прибутковості, темпів зростання або готовності «ризикнути заради можливості» швидко транслюються вниз по організації. Часто без жодних формальних рішень, але з цілком зрозумілими сигналами для менеджменту.

Не менш важливу роль відіграє фінансова функція. Саме через бюджет, ліміти витрат і припущення щодо доходів формується допустимий рівень ризику. Коли фінансовий план не залишає простору для негативних сценаріїв, організація фактично встановлює високий ризик-апетит, навіть якщо на рівні політик декларується протилежне.

Водночас функція управління ризиками рідко має реальний мандат на встановлення меж. Її роль часто зводиться до фіксації та пояснення рішень, ухвалених в інших центрах впливу. У таких умовах ризик-менеджер стає не архітектором ризик-апетиту, а його хронікером — тим, хто описує наслідки вже зробленого вибору.

Особливо чітко це проявляється в ситуаціях конфлікту між бізнес-цілями та ризиковими обмеженнями. Якщо у таких випадках пріоритет стабільно віддається виконанню плану або збереженню темпів, організація робить фактичний вибір на користь більш високого ризик-апетиту. І цей вибір має значно більшу вагу, ніж будь-яке формальне рішення ради.

У результаті ризик-апетит встановлюється не одним органом і не в один момент. Він формується як сукупність рішень, сигналів і компромісів між різними центрами влади в організації. Саме тому спроби «впровадити» risk appetite без розуміння цієї управлінської динаміки зазвичай не дають очікуваного ефекту.

Як ризик-апетит змінюється під тиском — і чому це нормально (але небезпечно)

У спокійні періоди ризик-апетит зазвичай виглядає стабільним і передбачуваним. Рішення приймаються в межах звичних процедур, ліміти не викликають заперечень, а дискусії про допустимий ризик мають радше теоретичний характер. Саме в таких умовах створюється ілюзія, що межі визначені раз і назавжди.

Ситуація різко змінюється, коли з’являється тиск — фінансовий, ринковий, регуляторний або репутаційний. Плани перестають виконуватися, показники погіршуються, а час на ухвалення рішень скорочується. У цей момент ризик-апетит починає поводитися як гнучка конструкція, навіть якщо формально він задекларований як сталий.

Найпоширеніший механізм зміни ризик-апетиту під тиском — це винятки. Спочатку вони виглядають виправданими: «разова ситуація», «надзвичайні обставини», «іншого виходу немає». Проблема не в самому винятку, а в тому, що організація рідко повертається до питання, чи не змінилася внаслідок цього фактична межа допустимого ризику.

З часом такі винятки накопичуються і трансформуються в нову норму. Те, що вчора вимагало окремого погодження і пояснень, сьогодні проходить автоматично. Формальний ризик-апетит при цьому може залишатися незмінним, але реальний — вже давно інший. Саме так виникає розрив між задекларованими принципами і повсякденною практикою.

Особливо небезпечними є ситуації, коли зміна ризик-апетиту відбувається без усвідомлення цього факту керівництвом. У таких випадках організація продовжує вважати себе обережною або помірною, тоді як її рішення вже відповідають високому або навіть агресивному рівню ризику. Це створює ілюзію контролю там, де його фактично немає.

Варто зауважити, що сама по собі адаптація ризик-апетиту до обставин не є помилкою. Проблема виникає тоді, коли ця адаптація не супроводжується переосмисленням, формалізацією та комунікацією. Без цього організація втрачає здатність відрізняти усвідомлений ризик від повзучого зміщення меж.

У підсумку тиск оголює справжній ризик-апетит швидше, ніж будь-який аудит або звіт. Саме в кризових умовах стає видно, які обмеження є принциповими, а які — умовними, і чи здатна організація управляти цими межами, а не просто реагувати на обставини.

Ризик-апетит і культура: чому межі працюють або зникають

Навіть ретельно сформульований ризик-апетит не має практичної цінності, якщо організаційна культура не підтримує його щоденними управлінськими рішеннями. Культура визначає не те, що написано в політиках, а те, як організація поводиться у типових і нетипових ситуаціях. Саме вона відповідає на ключове питання: що тут насправді вважається допустимим ризиком.

У багатьох компаніях на рівні документів декларується помірний або низький ризик-апетит, тоді як культура стимулює протилежну поведінку. Якщо досягнення результату системно винагороджується незалежно від способу його досягнення, межі ризику починають сприйматися як умовні. Формально вони існують, але культурно — не мають ваги.

Показовим у цьому сенсі є кейс Wells Fargo. Банк роками позиціонував себе як консервативну фінансову установу з високими стандартами комплаєнсу та клієнтоорієнтованості. У політиках ризик шахрайства і репутаційних втрат визначався як неприйнятний. Водночас внутрішня культура продажів була побудована на жорстких і часто нереалістичних KPI, виконання яких напряму впливало на оцінку, винагороду і навіть збереження робочого місця.

У такій системі фактичний ризик-апетит формувався не на рівні ради директорів, а на рівні щоденного управління. Працівники і менеджери середньої ланки швидко зчитали сигнал: результат важливіший за процедури. Це призвело до масової практики відкриття фіктивних рахунків без згоди клієнтів — не як разового порушення, а як системної поведінки, що тривала роками.

Важливо, що формальні елементи системи управління ризиками при цьому існували. Внутрішній контроль, комплаєнс і аудит фіксували проблеми, але не могли їх зупинити, оскільки культура фактично переписала ризик-апетит. Реальна межа допустимого визначалася не політикою, а мовчазною згодою з практикою, яка забезпечувала виконання планів.

Цей кейс добре ілюструє фундаментальну тезу: культура не просто впливає на ризик-апетит — вона стає ним, якщо між деклараціями і поведінкою виникає конфлікт. У таких умовах організація може щиро вважати себе обережною, продовжуючи системно приймати надмірні ризики.

Саме тому управління ризик-апетитом неможливе без роботи з культурою. Якщо система стимулів, реакції на помилки і стиль управління не узгоджені з задекларованими межами, risk appetite неминуче перетворюється на формальність. І в цьому сенсі культурний вимір є не «м’яким» доповненням, а критичною умовою того, чи працюватимуть межі взагалі.

Коли ризик-апетит існує лише на папері

Найбільша небезпека формального ризик-апетиту полягає не в тому, що він недосконалий або неточно сформульований. Справжня проблема виникає тоді, коли організація вважає, що межі визначені й контрольовані, тоді як насправді вони давно зсунуті управлінською практикою. У цей момент risk appetite перестає бути інструментом управління і перетворюється на елемент самообману.

У таких умовах ризики не виглядають як свідомий вибір. Вони сприймаються як «нормальний фон», «особливості ринку» або «тимчасові складнощі». Управлінські рішення приймаються без відчуття виходу за межі, бо ці межі вже давно переписані — не в документах, а в поведінці. Саме тому серйозні інциденти рідко виглядають як раптові: заднім числом майже завжди видно ланцюжок дозволів, винятків і компромісів.

Показово, що в таких ситуаціях система управління ризиками формально продовжує працювати. Ризики ідентифікуються, звіти готуються, показники відстежуються. Але ключова управлінська функція — сказати “ні” або “досить” — виявляється заблокованою. Не через відсутність процедур, а через відсутність реального мандата і підтримки.

Саме тут стає зрозуміло, що ризик-апетит не можна «впровадити» один раз і вважати завершеним. Він або постійно перевіряється реальними рішеннями, або непомітно деградує. Якщо організація не ставить собі запитання про те, чи відповідають її дії задекларованим межам, відповідь формується автоматично — через культуру і стимули.

З практичної точки зору це означає просту, але незручну річ: risk appetite не працює сам по собі. Він працює лише тоді, коли стає частиною управлінських дискусій, конфліктів і компромісів. Коли його використовують не для звітності, а для пояснення, чому певні рішення можливі, а інші — ні.

У цьому сенсі ризик-апетит є не стільки про контроль, скільки про чесність. Про готовність визнати, який ризик організація реально приймає, а який лише декларує. Без цієї чесності будь-які ліміти і формулювання залишаються вторинними — і саме в цьому місці зазвичай починається історія провалів.

Усе сказане вище підводить до наступного, значно складнішого питання:
як саме організація проводить межі між прийнятним і неприйнятним ризиком — і чи ці межі взагалі є однаковими для різних типів рішень.

Саме цьому буде присвячена наступна стаття циклу Risk Appetite in Practice — розмова про те, де на практиці проходять ці межі і чому вони рідко бувають універсальними.

Сергій БАБИЧ